Publicité en cours de chargement...
Achetez mon Zero Trust, il est beau mon Zero Trust !
Inondant les plaquettes publicitaires et faisant le buzz sur les salons ces dernières années, le Zero Trust est-il encore une mode farfelue ou apporte-t-il vraiment quelque chose ?
L’approche Zero Trust, imaginée par John Kindervag [1] il y a plus de dix ans déjà ! Peut-être que sans le savoir, vous faites déjà du Zero Trust depuis plusieurs années. Bon, si votre SIH se « limite » à un réseau interne avec vos serveurs, postes clients, dispositifs médicaux et GTC, une DMZ pour vos machines exposées sur Internet et un pare-feu entre les deux, on peut dire que votre approche a une bonne trentaine d’années de retard ! Vous avez mis en place des VLANs routés par vos cœurs de réseau ? Vous ne savez pas ce que sont des ACL ? Vous avez toujours vos trente ans de retard… Rien d’incurable, mais votre SI de santé risque d’être très malade si un attaquant déboule sur le réseau.
Zero Trust est le digne héritier du principe de « Dé-périmétrisation » [2] initié par Jon Measham et le Jericho Forum [3]. Il se résume assez simplement :
- je ne fais pas confiance à mes réseaux internes
- je ne fais pas confiance à mes terminaux
- je ne fais pas confiance à mes utilisateurs
Par conséquent, je dois appliquer les mêmes règles de sécurité à mes réseaux internes, que j’applique à mes machines exposées sur Internet.
Autant dire que quand un éditeur bien connu arrive avec sa procédure d’installation pour une application médicale vendue en 2021 en vous disant, pour une connexion sur un réseau interne, pas besoin de chiffrer les flux : connexion HTTP à l’application, interconnexion LDAP avec votre annuaire, échange de fichiers via FTP et envoi de messages via SMTP, il est à l’opposé du Zero Trust… du coup, adoptez la démarche Zero Trust et adaptez-là à la vraie vie ! Ne lui faites pas confiance !
Quand on pense qu’on impose des certifications HAS à nos établissements de santé et qu’on laisse des éditeurs leur vendre à prix d’or de telles cochonneries… Comment avoir confiance dans ce « Kaa » ? Voilà pourquoi nous sommes, allons ou devons tous devenir, des aficionados du Zero Trust.
Micro-segmentation, filtrage, chiffrement et supervision des flux, limitation au strict nécessaire des droits et accès, bastions d’administration, authentification multi facteurs, sandboxing, sont des exemples d’actions qui pourront grandement nous aider dans cette démarche. Bien sûr, l’achat de solutions matérielles et logicielles seront nécessaires dans certains cas, mais sortir le carnet de chèques ne vous permettra pas forcément de sécuriser votre SI. Si vous n’avez jamais appris à conduire, même en achetant une formule 1, vous ne deviendrez pas pilote de course...
[1]
[2]
[3]
Avez-vous apprécié ce contenu ?
A lire également.

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !
23 juin 2025 - 18:14,
Tribune
-Ça fait deux fois.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.